مشاركة عبر

أفضل ممارسات التطوير الآمن على Azure

  • مقالة

تعرض هذه السلسلة من المقالات أنشطة الأمان وعناصر التحكم التي يجب مراعاتها عند تطوير تطبيقات السحابة. يتم تناول مراحل دورة تطوير الأمان من Microsoft (SDL) وأسئلة ومفاهيم الأمان التي يجب مراعاتها أثناء كل مرحلة من مراحل دورة الحياة. الهدف هو مساعدتك في تحديد الأنشطة وخدمات Azure التي يمكنك استخدامها في كل مرحلة من مراحل دورة الحياة لتصميم تطبيق أكثر أماناً وتطويره وتوزيعه.

تأتي التوصيات الواردة في المقالات من تجربتنا مع أمان Azure ومن تجارب عملائنا. يمكنك استخدام هذه المقالات كمرجع لما يجب عليك مراعاته خلال مرحلة معينة من مشروع التطوير الخاص بك، لكننا نقترح أن تقرأ أيضاً جميع المقالات من البداية إلى النهاية مرة واحدة على الأقل. تقدم لك قراءة جميع المقالات المفاهيم التي ربما فاتتك في المراحل السابقة من مشروعك. يمكن أن يساعدك تطبيق هذه المفاهيم قبل إصدار منتجك في إنشاء برامج آمنة، ومعالجة متطلبات التوافق الأمني​​، وتقليل تكاليف التطوير.

تهدف هذه المقالات إلى أن تكون مصدراً لمصممي البرامج والمطورين والمعملين على جميع المستويات الذين يقومون بإنشاء وتوزيع تطبيقات Azure الآمنة.

نظرة عامة

الأمان هو أحد أهم جوانب أي تطبيق، وليس من السهل الحصول عليه بشكل صحيح. لحسن الحظ، يوفر Azure العديد من الخدمات التي يمكن أن تساعدك في تأمين تطبيقك في السحابة. تتناول هذه المقالات الأنشطة وخدمات Azure التي يمكنك تنفيذها في كل مرحلة من مراحل دورة حياة تطوير البرامج لمساعدتك على تطوير تعليمات برمجية أكثر أماناً وتوزيع تطبيق أكثر أماناً في السحابة.

دورة حياة تطوير الأمان

يتطلب اتباع أفضل الممارسات لتطوير البرامج الآمنة دمج الأمان في كل مرحلة من مراحل دورة حياة تطوير البرامج، بدءاً من تحليل المتطلبات وحتى الصيانة، بغض النظر عن منهجية المشروع (الانحدار أو الرشيق أو DevOps). في أعقاب انتهاكات البيانات البارزة واستغلال الثغرات الأمنية التشغيلية، يدرك المزيد من المطورين أن الأمن يحتاج إلى المعالجة طوال عملية التطوير.

كلما قمت لاحقا بإصلاح مشكلة في دورة حياة التطوير الخاصة بك، زاد ما يكلفك إصلاحه. المشكلات الأمنية ليست استثناء. إذا تجاهلت مشكلات الأمان في المراحل الأولى من تطوير البرنامج، فقد ترث كل مرحلة تالية الثغرات الأمنية في المرحلة السابقة. يقوم منتجك النهائي بتجميع مشكلات أمنية متعددة وإمكانية حدوث خرق. يساعدك بناء الأمان في كل مرحلة من مراحل دورة حياة التطوير في التعرُّف على المشكلات مبكراً، كما يساعدك على تقليل تكاليف التطوير.

نحن نتبع مراحل Microsoft دورة حياة تطوير الأمان (SDL) لتقديم الأنشطة وخدمات Azure التي يمكنك استخدامها لتحقيق ممارسات تطوير البرامج الآمنة في كل مرحلة من مراحل دورة الحياة.

مراحل SDL هي:

Security Development Lifecycle

في هذه المقالات نقوم بتجميع مراحل SDL في التصميم والتطوير والتوزيع.

إشراك فريق الأمان في مؤسستك

قد يكون لدى مؤسستك برنامج أمان تطبيق رسمي يساعدك في أنشطة الأمان من البداية إلى النهاية خلال دورة حياة التطوير. إذا كانت مؤسستك لديها فرق أمان وامتثال، فتأكد من إشراكهم قبل البدء في تطوير التطبيق الخاص بك. اسألهم في كل مرحلة من مراحل SDL عما إذا كانت هناك أي مهام فاتتك.

نحن نتفهم أن العديد من القراء قد لا يكون لديهم فريق أمان أو امتثال للمشاركة. يمكن أن تساعدك هذه المقالات في إرشادك في الأسئلة والقرارات الأمنية التي تحتاج إلى أخذها في الاعتبار في كل مرحلة من مراحل SDL.

الموارد

استخدم الموارد التالية لمعرفة المزيد بشأن تطوير التطبيقات الآمنة وللمساعدة في تأمين تطبيقاتك على Azure:

دورة حياة تطوير الأمان من Microsoft (SDL) - SDL هي عملية تطوير برامج من Microsoft تساعد المطورين على إنشاء برامج أكثر أمانا. يساعدك على تلبية متطلبات الامتثال الأمني ​​مع تقليل تكاليف التطوير.

Open Worldwide Application Security Project (OWASP) - OWASP هو مجتمع عبر الإنترنت ينتج مقالات ومنهجيات ووثائق وأدوات وتقنيات متوفرة مجانا في مجال أمان تطبيقات الويب.

دفع إلى اليسار، مثل بوس - سلسلة من المقالات عبر الإنترنت التي تحدد أنواعا مختلفة من أنشطة أمان التطبيقات التي يجب على المطورين إكمالها لإنشاء تعليمات برمجية أكثر أمانا.

النظام الأساسي للهويات في Microsoft - يعد النظام الأساسي للهويات في Microsoft تطورا لخدمة هوية Microsoft Entra والنظام الأساسي للمطور. إنه نظام أساسي كامل الميزات يتكون من خدمة مصادقة ومكتبات مفتوحة المصدر وتسجيل التطبيق وتكوينه ووثائق المطور الكاملة ونماذج التعليمات البرمجية ومحتوى المطور الآخر. يدعم النظام الأساسي للهويات في Microsoft البروتوكولات المتوافقة مع معايير المجال، مثل OAuth 2.0 وOpenID Connect.

أفضل ممارسات وأنماط أمان Azure - مجموعة من أفضل ممارسات الأمان لاستخدامها عند تصميم الحلول السحابية ونشرها وإدارتها باستخدام Azure. تهدف الإرشادات إلى أن تكون موردا لمحترفي تكنولوجيا المعلومات. قد يشمل ذلك المصممين والمهندسين المعماريين والمطورين والمختبرين الذين يقومون ببناء ونشر حلول Azure الآمنة.

مخططات الأمان والتوافق على Azure - Azure Security and Compliance Blueprints هي موارد يمكن أن تساعدك على إنشاء وتشغيل التطبيقات التي تعمل بالسحابة والتي تتوافق مع اللوائح والمعايير الصارمة.

الخطوات التالية

في المقالات التالية، نوصي بضوابط وأنشطة الأمان التي يمكن أن تساعدك في تصميم التطبيقات الآمنة وتطويرها وتوزيعها.